Мы работаем БЕЗ ВЫХОДНЫХ и выезжаем по всему ставропольскому краю.
(8652) 90-40-50
Всегда можно получить качественную консультацию у нашего специалиста по вопросам, связанным с ремонтом компьютеров, ремонтом ноутбуков, настройкой сетей, всем видам компьютерной помощи, позвонив по нашему телефону в городе Ставрополе
90-40-50
Компьютерная помощь и ремонт компьютеров у нас – всегда лучшее решение!
Copyright © 2009 - 2013
Любое цитирование и перепечатка информации разрешается и приветствуется при указании активной ссылки на сайт komp26.ru
Невозможное - возможно: недорого, недолго, нестрашно
Пример простого IР-фильтра
Сейчас мы продемонстрируем базовое использование IP-фильтрации, аналогичное тому, как мы использовали TCP-обертки выше в этой главе. Мы хотим отфильтровать пакеты от любых хостов в Интернете, за исключением пакетов, предназначенных демону finger от небольшой группы хостов. Хотя для выполнения той же функции могут быть использованы ТСР-обертки, IP-фильтр позволяет проверять многие различные типы пакетов (например, пакеты ICMP ping) и часто необходим, чтобы защитить сервисы, не управляемые ТСР-обертками.
В отличие от TCP-оберток, правила iptables не могут использовать имена хостов для указания источника или получателя пакетов1: при задании правил нужно пользоваться IP-адресами. Однако это даже хорошо, потому что обратный поиск имени хоста не вполне надежен для идентификации пакета (можно фальсифицировать DNS, представив, будто у некоторого IP-адреса другое имя хоста). Представленный набор правил принимает все пакеты, принадлежащие существующему соединению.
Это требуется в случае FTP, когда клиент и сервер могут договориться об альтернативном порте для соединения, в котором передаются данные. Модуль отслеживания состояния соединений (заданный в правилах с помощью -m state) удостоверяет, что соединение передачи данных может быть принято.